随着2019年网络安全等级保护2.0 标准正式发布与实施，两年多来，整个信息安全行业需求迎来了重要的边际改善，新机遇、新趋势、新挑战成为了企业合规建设的关键词，过等保成为了企业合规运营的必经之路。

几乎所有的企业都要通过网络安全等保大考，尤其是关系国计民生的重点行业如金融、医疗、教育等，相关主管部门已经下发详细的工作开展知识和全方位的过保标准。企业如何才能更高效、平稳地通过等级保护2.0，并将安全能力转化为自身的发展助力？

作为工作在网络安全第一线的队伍，蔷薇灵动微隔离就等保2.0的具体技术要求做一些分析。

业界普遍关注到，新的技术标准增加了对云计算等新业务场景的要求，但是事实上，等保2.0在基础技术要求部分也做了相当大的调整，可以说是在整个安全管理理念上做出了非常深刻的变革。

等保2.0变革导致三大“天坑”

白名单机制 “8.1.2.4 访问控制“

a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；”

在等保1.0中，关于网络安全访问控制部分，只是提出了要设置访问控制设备，并能提供状态检测能力和部分应用检测能力。但是并没有明确提出是否应用白名单机制进行访问控制，而在等保2.0里面，则是非常明确的提出，访问控制应该使用白名单机制！

这无疑是个“大坑”，因为要求广大安全管理者必须理解业务，并根据业务去设置白名单策略。作为安全老兵，蔷薇灵动深知这对于安全管理者的压力有多大，一个不慎就会阻断业务，然后就是铺天盖地的电话质询与事后问责。

东西向防御“8.1.2.5 入侵防范 “

b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为”

在等保1.0的入侵防范部分，要求的是在边界处进行对指定类型的攻击进行防御，虽然并没有强调防内还是防外，但是从上下文的角度分析，当时的规范编写者考虑的是防范外来的攻击，这一点从其部署位置就能看得出来，边界上的防御，在传统的的理解上防的是边界以外的威胁。然而，在等保2.0中，则明确提出要进行对内部威胁的防御，也就是我们业界常说的东西向防御。

说东西向防御是个大坑，可以从三个角度分析：

首先，这是由网络结构决定的，一般来说南北向安全都能找到一个叫做网关的地方，我们只要将安全产品部署在网关的位置就能起到一夫当关的作用。然而东西向安全则不同，我们很难找到一个关键路径，让所有的内部流量都会经过这里。

其次这也是由网络规模决定的，南北向安全不管内部有多大，网关就是一个，基本不受网络规模的影响，而东西向安全则和网络规模有很大关系，50台服务器的数据中心和500台服务器的数据中心将是完全不同的挑战。

而云计算，则更加让这个大坑显得深不见底。首先，当代数据中心规模都极其巨大，再加上容器技术带来的节点数激增，使得云内的东西向安全已经成为了一个禁区。另一方面，由于云计算普遍采用了虚拟化技术，这意味着只有虚拟化安全产品才可能在云内得以部署，然而虚拟化的安全产品（主要是防火墙） 普遍对云基础架构有着很强的依赖关系，比如国内发布的几款虚拟化东西向防火墙基本上都只支持少数几个指定的虚拟化架构，这使得云用户（尤其是自己开发云系统的私有云用户）很难找到能用的安全产品。而另一方面，虚拟化防火墙毕竟还是防火墙，并没有彻底解决我们前面提到的那个关于关键路径的问题，为了解决对东西向流量进行全覆盖，目前的东西向防火墙普遍要求很高的部署密度（每台宿主机一个），而与此同时，东西向墙的开销却并不低（2核2g是基础配置），这无疑使得在云内东西部署向安全产品变的难上加难。

当东西向遇到白名单

白名单是个大坑，东西向也是个大坑，而当东西向遇到白名单，这个坑就是一个史诗级别的天坑了。因为，一旦把场景切换到了内部，你就会发现数不胜数的私有协议和应用，没有人了解他们的网络特性，也没有人准确的知道究竟有多少这样的私有化应用在内部。

微隔离解决“天坑”方案

蔷薇灵动在业界以微隔离技术著称，而微隔离技术本身就是一种防范内部威胁的有效技术。围绕这个技术，蔷薇灵动提出了一个四步走的方法论，供大家参考，主要包括：

学习

白名单问题的核心难点在于了解有哪些业务是你所允许的，如前所述，这个问题在东西向是非常难搞清楚的一个问题。解决之道就在于你需要微隔离，来提供一个自己学习的可视化平台！

梳理

蔷薇灵动微隔离提供了一整套的交互式策略设计方法，通过点击图中的线和点，管理员可以非常方便的设计出内网安全策略，因为这个策略是基于真实的业务拓扑设计出来的，因此可以保证策略的有效性和完整性。

验证

为了避免策略破坏业务，蔷薇灵动微隔离将策略分为测试状态和防护状态。在测试状态中，策略并没有真实的部署在节点上，而是通过模拟的形式进行策略计算，并将可能的结果展现出来。我们推荐用户在完成策略梳理后，至少进行两个星期的策略验证，以确保策略不会破坏业务。

监测

一旦完成了策略验证，就可以将策略转为防护状态，在防护过程中，蔷薇灵动微隔离将会持续记录东西向访问，以作为必要时的溯源工具，同时对一切网络访问阻断进行记录，以用于对内部威胁进行分析。

等保2. 0 标准作为我国网络安全领域的基本国策、基本制度和基本方法，不仅是企业品牌树立、可持续发展的重要保障，更是我国信息系统安全在新时代、新态势下网络安全的“风向标”。蔷薇灵动微隔离是目前最强业务学习工具，其将以过硬的技术助力企业通过顺利通过等级保护。

声明:转载目的在于传递更多信息,文章版权归原作者所有,内容为作者个人观点。本站只提供参考并不构成任何投资及应用建议。如涉及作品内容或其它问题,请在30日内与工作人员联系(附联系方式),我们将第一时间与您协商。谢谢支持!